image

SugarCRM geconfronteerd met lijst van kwetsbaarheden

dinsdag 25 april 2017, 13:03 door Redactie, 2 reacties

De makers van SugarCRM zijn druk bezig de kwetsbaarheden te analyseren die een Italiaan afgelopen zondag op zijn blog publiceerde. In zijn blog heeft Egidio Romano een aantal beveiligingsproblemen in SugarCRM gepubliceerd. Zo beschrijft hij onder meer een PHP Object Injection-mogelijkheid, blind sql-injections en een XSS- kwetsbaarheid. Romano publiceerde de kwetsbaarheden naar eigen zeggen deels uit frustratie omdat de organisatie volgens hem niet adequaat genoeg reageerde op zijn bevindingen.

SugarCRM heeft maandag gereageerd op de publicatie. De beschreven problemen hebben volgens hen betrekking op het gratis open-source pakket Sugar CE (Community Edition). Wel zegt Rich Green, SugarCRM's chief product officer, dat een deel van de code van Sugar CE ook terugkomt in de nieuwste versie Sugar 7.9 die binnenkort uitkomt.

"SugarCRM neemt product- en IT-beveiliging heel serieus en heeft bovendien een lange en goede samenwerking met de security-gemeenschap", reageert SugarCRM-woordvoerder Andrew Staples tegenover Security.nl. "Die samenwerking heeft ons enorm geholpen om ons product te verbeteren."

Het securityteam van SugarCRM is nu alle punten aan het onderzoeken die de Italiaan heeft beschreven. Veel van de genoemde problemen zouden echter al bekend of inmiddels verholpen zijn in het commerciële product. Green zegt de klanten en partners uitgebreid op de hoogte te houden en belooft het SugarCRM Blog doorlopend te voorzien van updates omtrent dit issue.

Reacties (2)
25-04-2017, 15:54 door Anoniem
Heel bijzonder dat dit nu boven water komt. Op het punt, letterlijk op de dag af, dat de CE variant niet meer supported is en de gebruikers er van worden gemaand over te stappen naar een dure betaalde versie.

Geloof er weinig van en ga er ook niet op acteren.
26-04-2017, 19:39 door Anoniem
Door Anoniem: Heel bijzonder dat dit nu boven water komt. Op het punt, letterlijk op de dag af, dat de CE variant niet meer supported is en de gebruikers er van worden gemaand over te stappen naar een dure betaalde versie.

Geloof er weinig van en ga er ook niet op acteren.

Opencrx is misschien iets, web interface ziet er niet uit, maar wel goede connectivity via caldav en carddav. Jammer dat er zoveel gerommeld wordt op erp/crm gebied. Eigenlijk zou er meer samenwerking moeten zijn tussen al die individuele initiatieven. Openerp/odoo is echt rommel programmeerwerk, maar ziet er best ok uit. En dat opencrx is volgens mij top programmeerwerk, maar interface weer belabberd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.